CN102571807A - 一种确保IPv6重定向消息安全的方法和系统 - Google Patents
一种确保IPv6重定向消息安全的方法和系统 Download PDFInfo
- Publication number
- CN102571807A CN102571807A CN2012100274939A CN201210027493A CN102571807A CN 102571807 A CN102571807 A CN 102571807A CN 2012100274939 A CN2012100274939 A CN 2012100274939A CN 201210027493 A CN201210027493 A CN 201210027493A CN 102571807 A CN102571807 A CN 102571807A
- Authority
- CN
- China
- Prior art keywords
- ipv6
- message
- port
- redirect message
- redirect
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种确保IPv6重定向消息安全的方法和系统,交换机开启IPv6重定向消息安全功能,为交换机配置信任端口;接收IPv6重定向报文;判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文。采用本发明的技术方案,保证了IPv6重定向消息的安全使用,防止恶意IPv6重定向消息的转发,确保网络的正常工作。
Description
技术领域
本发明涉及计算机数据通信领域,尤其涉及一种确保IPv6重定向消息安全的方法和系统。
背景技术
在IPv6网络中,路由器能够发送给IPv6主机重定向消息(RedirectMessage),告知主机存在一个更好的下一跳,或者通过重定向报文告知主机目的地址是一个邻居节点,无需通过路由器转发。这样,IPv6主机可以将流量重定向至更优的下一跳,或者直接转至邻居节点。但遗憾的是,目前主机节点接收IPv6重定向消息并不作身份验证,如果有恶意节点发送非法IPv6重定向消息给合法主机节点,主机节点会把其中下一跳邻居信息取代合法的下一跳邻居信息,使网络不可用或把流量导向非法节点,因此保证IPv6重定向消息的合法使用是目前IPv6网络设备必须做到的。
发明内容
本发明的目的在于提出一种确保IPv6重定向消息安全的方法和系统,以保证IPv6重定向消息的安全使用,防止恶意IPv6重定向消息的转发。
为达此目的,本发明采用以下技术方案:
一种确保IPv6重定向消息安全的方法,包括以下步骤:
A、交换机开启IPv6重定向消息安全功能,为交换机配置信任端口;
B、接收IPv6重定向消息报文
C、判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文;
D、所述IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。
步骤A中,配置的信任端口为交换机上连接IPv6路由器的二层端口和/或汇聚端口。
步骤C中,当IPv6重定向消息报文的接收端口属于信任端口时,查询邻居表项,从连接IPv6主机的端口将IPv6重定向消息报文转发出去。
一种确保IPv6重定向消息安全的系统,包括接收模块、端口配置模块、处理模块和转发模块,其中处理模块分别与接收模块、端口配置模块和转发模块连接;
所述接收模块,用于接收IPv6重定向消息报文;
所述端口配置模块,用于为交换机配置信任端口;
所述处理模块,用于读取所述IPv6重定向消息报文的接收端口信息,判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则将所述IPv6重定向消息报文发送给转发模块;若不属于,则丢弃所述IPv6重定向消息报文;
所述转发模块,用于将处理模块发来的IPv6重定向消息报文转发至所述IPv6重定向消息报文的目的主机。
所述端口配置模块为交换机配置的信任端口,为交换机上连接IPv6路由器的二层端口和/或汇聚端口。
所述处理模块判断IPv6重定向消息报文的接收端口属于信任端口时,转发模块查询邻居表项,从连接所述IPv6重定向消息报文的目的主机的端口将IPv6重定向消息报文转发出去。
采用本发明的技术方案,保证了IPv6重定向消息的安全使用,防止恶意IPv6重定向消息的转发,确保网络的正常工作。
附图说明
图1是本发明具体实施方式提供的确保IPv6重定向消息安全的方法流程示意图。
图2是本发明具体实施方式提供的确保IPv6重定向消息安全的系统结构示意图。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
图1是本发明具体实施方式提供的确保IPv6重定向消息安全的方法流程示意图。如图1所示,该方法包括以下步骤:
步骤S101,交换机开启IPv6重定向消息安全功能,为交换机配置信任端口。
交换机开启IPv6重定向消息安全功能后,将IPv6重定向消息报文重定向至CPU的规则下发至交换芯片,使交换芯片收到IPv6重定向消息报文报文时,将报文重定向至交换机的CPU,由CPU进行软件的解析和转发。
IPv6重定向消息报文的特征为:以太首部第17,18字节的以太类型为0x86dd;ipv6首部第6字节的nexthdr为58;ipv6首部第41字节的icmpv6类型为137。
所述为交换机配置的信任端口为交换机上连接IPv6路由器的二层端口和/或汇聚端口。
通常交换机上用来连接路由器的端口数量要少于用来连接主机节点的端口数量,而安全的IPv6重定向消息报文来自路由器,非安全的IPv6重定向消息报文往往来自恶意主机节点。因此在为交换机配置所述信任端口时,通常将交换机上连接IPv6路由器的二层端口和/或汇聚端口配置为信任端口,其他未进行配置的端口则均缺省为非信任端口。这样,需要进行配置的端口数量较少,方便用户操作和更改端口配置。
步骤S102,接收IPv6重定向消息报文。
开启IPv6重定向消息安全功能后,由于IPv6重定向消息报文重定向至CPU的规则已生效,IPv6重定向消息报文到达交换机端口后,被交换芯片送到交换机CPU处理。
步骤S103,判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文。
IPv6重定向消息报文重定向至交换机的CPU,由CPU进行软件的解析和转发。运行在CPU的软件里对每一个报文由一个软件结构来指向,里面包含表示接收端口的字段。交换芯片将报文送到CPU后,收包驱动从芯片的寄存器里读出端口号,写到该报文的软件结构的端口字段里。运行在CPU的软件读取该字段中的端口信息,与步骤S101中配置的信任端口信息进行匹配;如果属于所述信任端口,则将该端口收到的IPv6重定向消息报文转发至该报文的目标IPv6主机;如果不属于所述信任端口,则直接丢弃该IPv6重定向消息报文。这样便使恶意主机节点发送的非法IPv6重定向消息报文,无法到达其目标IPv6主机,保证了IPv6重定向消息的安全使用。
步骤S104,所述IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。这样,便告知所述IPv6主机,存在一个更好的下一跳或者通过重定向报文告知目的地址是一个邻居节点,无需通过路由器转发。所述IPv6主机可以将其流量重定向至更优的下一跳,或者直接转至邻居节点。
图2是本发明具体实施方式提供的确保IPv6重定向消息安全的系统结构示意图。如图2所示,所述系统包括接收模块201、端口配置模块202、处理模块203和转发模块204,其中处理模块分别与接收模块、端口配置模块和转发模块连接;
所述接收模块201,用于接收IPv6重定向消息报文;
所述端口配置模块202,用于为交换机配置信任端口;
所述处理模块203,用于读取所述IPv6重定向消息报文的接收端口信息,判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则将所述IPv6重定向消息报文发送给转发模块;若不属于,则丢弃所述IPv6重定向消息报文;
所述转发模块204,用于将处理模块发来的IPv6重定向消息报文转发至所述IPv6重定向消息报文的目的主机。
当交换机开启IPv6重定向消息安全功能后,将IPv6重定向消息报文重定向至CPU的规则下发至所述交换芯片,所述交换芯片收到IPv6重定向消息报文报文时,将报文重定向至CPU,CPU进行软件的解析和转发。
IPv6重定向消息报文重定向至交换机的CPU,由运行在CPU的软件系统进行解析和转发。运行在CPU的软件里对每一个报文由一个软件结构来指向,里面包含表示接收端口的字段。交换芯片将报文送到CPU后,收包驱动从芯片的寄存器里读出端口号,写到该报文的软件结构的端口字段里。运行在CPU的软件系统中的接收模块接收所述软件结构的IPv6重定向消息报文,将其发送到处理模块。所述处理模块读取软件结构中端口字段的端口信息,与端口配置模块配置的信任端口进行匹配;如果属于所述信任端口,则将所述IPv6重定向消息报文发送到转发模块,由转发模块将IPv6重定向消息报文转发至目的主机;如果不属于所述信任端口,则直接丢弃该IPv6重定向消息报文。这样便使恶意主机节点发送的非法IPv6重定向消息报文,无法到达其目的IPv6主机,保证了IPv6重定向消息的安全使用。
所述端口配置模块为交换机配置的信任端口,为交换机上连接IPv6路由器的二层端口和/或汇聚端口。
在为交换机配置所述信任端口时,通常将交换机上连接IPv6路由器的二层端口和/或汇聚端口配置为信任端口,其他未进行配置的端口则均缺省为非信任端口。这样,需要进行配置的端口数量较少,方便用户操作和更改端口配置。
所述处理模块判断IPv6重定向消息报文的接收端口属于所述端口模块配置的信任端口时,转发模块查询邻居表项,从连接所述IPv6重定向消息报文的目的主机的端口将IPv6重定向消息报文转发出去。
连接到所述交换机的IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。这样,该IPv6主机便能够得知还存在一个更优的下一跳或者通过重定向报文告知目的地址是一个邻居节点,无需通过路由器转发。所述IPv6主机可以将其流量重定向至更优的下一跳,或者直接转至邻居节点。
采用以上本发明具体实施方式的技术方案,保证了IPv6重定向消息的安全使用,防止恶意IPv6重定向消息的转发,确保网络的正常工作。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (6)
1.一种确保IPv6重定向消息安全的方法,其特征在于,包括以下步骤:
A、交换机开启IPv6重定向消息安全功能,为交换机配置信任端口;
B、接收IPv6重定向消息报文
C、判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文;
D、所述IPv6主机收到转发的IPv6重定向消息报文,将目的缓存或者邻居缓存指向重定向的目标主机地址。
2.根据权利要求1所述的确保IPv6重定向消息安全的方法,其特征在于,步骤A中,配置的信任端口为交换机上连接IPv6路由器的二层端口和/或汇聚端口。
3.根据权利要求1或2所述的确保IPv6重定向消息安全的方法,其特征在于,步骤C中,当IPv6重定向消息报文的接收端口属于信任端口时,查询邻居表项,从连接IPv6主机的端口将IPv6重定向消息报文转发出去。
4.一种确保IPv6重定向消息安全的系统,其特征在于,包括接收模块、端口配置模块、处理模块和转发模块,其中处理模块分别与接收模块、端口配置模块和转发模块连接;
所述接收模块,用于接收IPv6重定向消息报文;
所述端口配置模块,用于为交换机配置信任端口;
所述处理模块,用于读取所述IPv6重定向消息报文的接收端口信息,判断IPv6重定向消息报文的接收端口是否属于配置的信任端口,若属于,则将所述IPv6重定向消息报文发送给转发模块;若不属于,则丢弃所述IPv6重定向消息报文;
所述转发模块,用于将处理模块发来的IPv6重定向消息报文转发至所述IPv6重定向消息报文的目的主机。
5.根据权利要求4所述的确保IPv6重定向消息安全的系统,其特征在于,所述端口配置模块为交换机配置的信任端口,为交换机上连接IPv6路由器的二层端口和/或汇聚端口。
6.根据权利要求4或5所述的确保IPv6重定向消息安全的系统,其特征在于,所述处理模块判断IPv6重定向消息报文的接收端口属于信任端口时,转发模块查询邻居表项,从连接所述IPv6重定向消息报文的目的主机的端口将IPv6重定向消息报文转发出去。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100274939A CN102571807A (zh) | 2012-02-08 | 2012-02-08 | 一种确保IPv6重定向消息安全的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100274939A CN102571807A (zh) | 2012-02-08 | 2012-02-08 | 一种确保IPv6重定向消息安全的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102571807A true CN102571807A (zh) | 2012-07-11 |
Family
ID=46416281
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012100274939A Pending CN102571807A (zh) | 2012-02-08 | 2012-02-08 | 一种确保IPv6重定向消息安全的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102571807A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
US20070195774A1 (en) * | 2006-02-23 | 2007-08-23 | Cisco Technology, Inc. | Systems and methods for access port ICMP analysis |
CN101459653A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 基于Snooping技术的防止DHCP报文攻击的方法 |
CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
CN101827138A (zh) * | 2010-05-21 | 2010-09-08 | 杭州华三通信技术有限公司 | 一种优化的ipv6过滤规则处理方法和设备 |
CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
-
2012
- 2012-02-08 CN CN2012100274939A patent/CN102571807A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
US20070195774A1 (en) * | 2006-02-23 | 2007-08-23 | Cisco Technology, Inc. | Systems and methods for access port ICMP analysis |
CN101459653A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 基于Snooping技术的防止DHCP报文攻击的方法 |
CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
CN101827138A (zh) * | 2010-05-21 | 2010-09-08 | 杭州华三通信技术有限公司 | 一种优化的ipv6过滤规则处理方法和设备 |
CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
Non-Patent Citations (2)
Title |
---|
JNRPTAOTAO: "ARP攻击防御典型配置案例", 《百度文库HTTP://WENKU.BAIDU.COM/VIEW/A60A0826192E45361066F537.HTML》, 4 November 2011 (2011-11-04), pages 1 - 29 * |
QUANPLA: "低端交换机ARP攻击特效总结", 《百度文库HTTP://WENKU.BAIDU.COM/VIEW/B442F053F01DC281E53AF09B.HTML》, 1 May 2011 (2011-05-01), pages 1 - 13 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2544417B1 (en) | Communication system, path control apparatus, packet forwarding apparatus and path control method | |
JP5987902B2 (ja) | ネットワークシステム、コントローラ、及びパケット認証方法 | |
RU2576473C2 (ru) | Сетевая система и способ маршрутизации | |
EP2562970B1 (en) | Switch, and flow table control method | |
US7555774B2 (en) | Inline intrusion detection using a single physical port | |
CN102571613B (zh) | 一种转发报文的方法及网络设备 | |
EP2833576A1 (en) | Lan multiplexer apparatus | |
JP2007235341A (ja) | 対異常通信防御を行うための装置とネットワークシステム | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
JP2007060456A (ja) | フィルタリングを備えるパケット転送装置 | |
US20100296395A1 (en) | Packet transmission system, packet transmission apparatus, and packet transmission method | |
CN101325554A (zh) | 一种路由创建方法、转发芯片及三层交换机 | |
CN102325079B (zh) | 报文传输方法和出口路由器 | |
CN102893560B (zh) | 一种数据流传送方法及网络设备 | |
JP2014161098A (ja) | 通信システム、ノード、パケット転送方法およびプログラム | |
EP2916497A1 (en) | Communication system, path information exchange device, communication node, transfer method for path information and program | |
JP5966488B2 (ja) | ネットワークシステム、スイッチ、及び通信遅延短縮方法 | |
US8249101B2 (en) | Mobile ad hoc network configured as a virtual internet protocol network | |
WO2012013003A1 (zh) | 一种数据报文的处理方法及系统 | |
US20080117900A1 (en) | Method and apparatus for distributing data packets by using multi-network address translation | |
CN102571806A (zh) | 一种主动防止路由器公告报文欺骗的装置和方法 | |
CN102594810B (zh) | 一种IPv6网络防止PMTU攻击的方法和装置 | |
CN102571807A (zh) | 一种确保IPv6重定向消息安全的方法和系统 | |
TW201132055A (en) | Routing device and related packet processing circuit | |
KR102412933B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 서비스를 제공하는 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120711 |